K8s证书可用年限修改

曦雨天梦2023-11-04 18:48

目录

1、绪论:

[1.1 查看 K8S 集群所有证书存放位置](#1.1 查看 K8S 集群所有证书存放位置)

[1.2 查看 ca 证书信息,默认可用年限为10年](#1.2 查看 ca 证书信息,默认可用年限为10年)

2、修改证书可用年限

[2.1 go 环境部署](#2.1 go 环境部署)

[2.2 下载源码](#2.2 下载源码)

[2.3 修改 Kubeadm 源码包更新证书策略](#2.3 修改 Kubeadm 源码包更新证书策略)

[2.4 更新 kubeadm](#2.4 更新 kubeadm)

[2.5 更新各节点证书至 Master 节点](#2.5 更新各节点证书至 Master 节点)

[2.6 HA集群其余 mater 节点证书更新](#2.6 HA集群其余 mater 节点证书更新)

1、绪论:

使用 kubeadm 部署的 K8S 集群中,apiserver 证书的默认可用年限只有一年。

如果直接用在生产环境,当证书过期后会造成 K8S 集群瘫痪,从而影响现网业务。

1.1 查看 K8S 集群所有证书存放位置

ls /etc/kubernetes/pki/

apiserver.crt apiserver.key ca.crt front-proxy-ca.crt front-proxy-client.key

apiserver-etcd-client.crt apiserver-kubelet-client.crt ca.key front-proxy-ca.key sa.key

apiserver-etcd-client.key apiserver-kubelet-client.key etcd front-proxy-client.crt sa.pub

//查看 apiserver 证书信息,默认可用年限只有一年

cd /etc/kubernetes/pki/

openssl x509 -in apiserver.crt -text -noout

Certificate:

Data:

Version: 3 (0x2)

Serial Number: 1295513766016577226 (0x11fa96e8010beeca)

Signature Algorithm: sha256WithRSAEncryption

Issuer: CN=kubernetes

Validity

Not Before: May 27 00:57:34 2021 GMT

Not After : May 27 00:57:34 2022 GMT

1.2 查看 ca 证书信息,默认可用年限为10年

openssl x509 -in ca.crt -text -noout

Certificate:

Data:

Version: 3 (0x2)

Serial Number: 0 (0x0)

Signature Algorithm: sha256WithRSAEncryption

Issuer: CN=kubernetes

Validity

Not Before: May 27 00:57:34 2021 GMT

Not After : May 25 00:57:34 2031 GMT

2、修改证书可用年限

2.1 go 环境部署

登陆 https://studygolang.com/dl ,下载 Linux 版本的 Go 安装包,如:go1.16.5.linux-amd64.tar.gz

//上传 go1.12.9.linux-amd64.tar.gz 到 master 节点的 /opt 目录中

tar zxvf go1.12.9.linux-amd64.tar.gz -C /usr/local/

//设置 go 软件程序的环境变量

echo 'export PATH=/usr/local/go/bin:$PATH' >> /etc/profile

source /etc/profile

//查看 go 的版本

go version

go version go1.12.9 linux/amd64

2.2 下载源码

mkdir /data

cd /data

//克隆代码

#在 master 节点上生成密钥对认证文件

ssh-keygen -t rsa

#复制公钥文件内容到github中,用于ssh克隆 https://github.com/settings/keys

cat /root/.ssh/id_rsa.pub

#在 master 节点上克隆

git clone git@github.com:kubernetes/kubernetes.git

//查看当前版本

kubeadm version

kubeadm version: &version.Info{Major:"1", Minor:"15", GitVersion:"v1.15.1", GitCommit:"4485c6f18cee9a5d3c3b4e523bd27972b1b53892", GitTreeState:"clean", BuildDate:"2019-07-18T09:15:32Z", GoVersion:"go1.12.5", Compiler:"gc", Platform:"linux/amd64"}

//切换分支

cd kubernetes/

git checkout -b remotes/origin/release-1.15.1 v1.15.1

2.3 修改 Kubeadm 源码包更新证书策略

vim cmd/kubeadm/app/util/pkiutil/pki_helpers.go

......

//NewSignedCert creates a signed certificate using the given CA certificate and key

func NewSignedCert(cfg *certutil.Config,key crypto.Signer,caCert *x509.certificate,caKey crypto.Signcate, error) {

const duration10years = time.Hour * 24 * 365 * 10 #定义常量duration10years为10年时间

serial,err := cryptorand.Int(cryptorand.Reader,new(big.Int).SetInt64(math.MaxInt64))

if err != nil {

return nil, err

}

if len(cfg. CommonName) == 0 {

return nil, errors.New("must specify a CommonName")

}

if len(cfg.Usages) == 0 {

return nil, errors.New("must specify at least one ExtKeyUsage")

}

certTmpl := x509.Certificate{

Subject: pkix.Name{

CommonName:cfg. CommonName ,

0rganization : cfg.0rganization ,

},

DNSNames: cfg.AltNames.DNSNames,

IPAddresses: cfg.AltNames.IPs,

SerialNumber: serial,

NotBefore: caCert.NotBefore,

NotAfter: time.Now().Add(duration10years).UTC(), #修改证书可用年限

KeyUsage: x509.KeyUsageKeyEncipherment │ x509.KeyUsageDigitalSignature,

ExtKeyUsage: cfg.Usages,

}

......

//编译 kubeadm

make WHAT=cmd/kubeadm GOFLAGS=-v

//获取新编译出的kubeadm文件

cp _output/bin/kubeadm /root/kubeadm-new

2.4 更新 kubeadm

//将原 kubeadm 进行备份

cp /usr/bin/kubeadm /usr/bin/kubeadm.old

//将 kubeadm 进行替换

cp /root/kubeadm-new /usr/bin/kubeadm

chmod +x /usr/bin/kubeadm

2.5 更新各节点证书至 Master 节点

//将原证书进行备份

cp -r /etc/kubernetes/pki /etc/kubernetes/pki.old

//生成新证书

kubeadm alpha certs renew all --config=/opt/kubeadm-config.yaml

//查看 apiserver 证书信息

cd /etc/kubernetes/pki

openssl x509 -in apiserver.crt -text -noout | grep Not

2.6 HA集群其余 mater 节点证书更新

//将新生成的证书复制到其他 mater 节点上进行更新

#!/bin/bash

masterNode="192.168.80.14 192.168.80.15"

for host in ${masterNode}

do

scp /etc/kubernetes/pki/{ca.crt,ca.key,sa.key,sa.pub,front-proxy-ca.crt,front-proxy-ca.key}" root@$host:/etc/kubernetes/pki/

scp /etc/kubernetes/pki/etcd/{ca.crt,ca.key} root@$host:/etc/kubernetes/pki/etcd/

scp /etc/kubernetes/admin.conf root@$host:/etc/kubernetes/

done

相关推荐
川石课堂软件测试1 小时前
性能测试|docker容器下搭建JMeter+Grafana+Influxdb监控可视化平台
运维·javascript·深度学习·jmeter·docker·容器·grafana
昌sit!7 小时前
K8S node节点没有相应的pod镜像运行故障处理办法
云原生·容器·kubernetes
A ?Charis10 小时前
Gitlab-runner running on Kubernetes - hostAliases
容器·kubernetes·gitlab
wclass-zhengge10 小时前
Docker篇(Docker Compose)
运维·docker·容器
北漂IT民工_程序员_ZG11 小时前
k8s集群安装(minikube)
云原生·容器·kubernetes
梦魇梦狸º14 小时前
腾讯轻量云服务器docker拉取不到镜像的问题:拉取超时
docker·容器·github
南猿北者16 小时前
docker镜像仓库常用命令
运维·docker·容器
2301_8061313617 小时前
Kubernetes的基本构建块和最小可调度单元pod-0
云原生·容器·kubernetes
SilentCodeY18 小时前
containerd配置私有仓库registry
容器·kubernetes·containerd·镜像·crictl
微刻时光18 小时前
Docker镜像分成
java·运维·开发语言·docker·容器·镜像
热门推荐
01【HarmonyOS】HUAWEI DevEco Studio 下载地址汇总02(欧拉)openEuler系统添加网卡文件配置流程、(欧拉)openEuler系统手动配置ipv6地址流程、(欧拉)openEuler系统网络管理说明03组基轨迹建模 GBTM的介绍与实现(Stata 或 R)04【AIGC】重塑未来的科技巨轮05全面解析:构建基于深度学习的安全帽检测系统(UI界面+YOLO代码+数据集)06【经验分享】Ubuntu22.04安装微信(linux官方版)07基于YOLOv10深度学习的CT扫描图像肾结石智能检测系统【python源码+Pyqt5界面+数据集+训练代码】深度学习实战、目标检测08Ubuntu 20.04使用Livox mid 360 测试 FAST_LIO09RAG 实践- Ollama+RagFlow 部署本地知识库10红米手机使用google play